1.3K
El DCPROMO La utilidad de consola (Promotor de controlador de dominio) se usa en Windows Server para instalar el rol de Servicios de dominio de Active Directory (ADDS), promoviendo un servidor miembro al controlador de dominio de AD o degradándolo.
dcpromo /unattend[:filename] /adv /uninstallBinaries /CreateDCAccount /UseExistingAccount:Attach [:{Promotion | CreateDcAccount | UseExistingAccount | Demotion}] /?:Promotion, /?:CreateDCAccount, /?:UseExistingAccount, and /?:Demotion
Argumentos de la línea de comandos de Dcpromo:
| /desatendido[:filename] | Se utiliza para especificar el modo de instalación desatendida de AD y la ruta al archivo de script. |
| /anuncio | Habilita las opciones de usuario avanzadas. |
| /desinstalarBinarios | Se utiliza para desinstalar los archivos binarios de Active Directory Domain Services del servidor actual. |
| /CrearCuentaDC | Crea una cuenta RODC (controlador de dominio de solo lectura). |
| /UsarCuentaExistente:Adjuntar | Adjunta el servidor actual a la cuenta de RODC. |
| /forceRemoval | Desinstala los servicios de Active Directory en este controlador de dominio. La cuenta del controlador de dominio no se eliminará del directorio y se perderán los cambios realizados en este controlador de dominio desde la última vez que se replicó con un asociado. |
| [:{Promotion | CreateDcAccount | UseExistingAccount | Demotion}] /?:Promoción, /?:Crear cuenta DC, /?:Usar cuenta existente y /?:Degradación | Muestra los parámetros desatendidos aplicables a la tarea especificada. /CreateDCAccount y /UseExistingAccount:Adjuntar son mutuamente excluyentes. |
Controlador de dominio de promoción desatendida mediante el archivo de respuesta DCpromo
Puede usar la herramienta dcpromo para la instalación desatendida del primer DC en el servidor de Windows que no está unido al dominio. Cree un nuevo archivo de texto c:dcpromo_unattend.txt con el siguiente texto.
[DCInstall] ReplicaOrNewDomain=Domain NewDomain=Forest NewDomainDNSName=theitbros.com ForestLevel=3 DomainNetbiosName= theitbros DomainLevel=3 InstallDNS=Yes ConfirmGc=Yes CreateDNSDelegation=No DatabasePath="C:WindowsNTDS" LogPath="C:WindowsNTDS" SYSVOLPath="C:WindowsSYSVOL" SafeModeAdminPassword=Pa##w0rd11s RebootOnCompletion=Yes
ForestLevel y DomainLevel permiten establecer los niveles funcionales del dominio y bosque AD:
- 2 = servidor de Windows 2003,
- 3 = SE 2008,
- 4 = WS 2008R2,
- 5 = SE 2012,
- 6 = WS 2012R2,
- 7 = SE 2016
Abra el símbolo del sistema elevado y ejecute el siguiente comando para promover el servidor actual al primer controlador de dominio en un nuevo bosque de dominio theitbros.com.
dcpromo.exe /unattend:C:dcpromo_unattend.txt
Una vez que finalice el script, obtendrá un controlador de dominio completamente funcional con el rol ADDS instalado.
Utilice el siguiente archivo de respuesta (dcpromo_unattend.txt) para instalar un controlador de dominio adicional en un bosque de Active Directory existente:
[DCInstall] SiteName=Default-First-Site-Name ReplicaOrNewDomain=replica ReplicaDomainDNSName=theitbros.com DatabasePath="C:WindowsNTDS" LogPath="C:WindowsNTDS" SYSVOLPath="C:WindowsSYSVOL" InstallDNS=Yes ConfirmGC=Yes SafeModeAdminPassword=DSRM local administrator password RebootOnCompletion=yes UserName=adm_bjackson UserDomain=theitbros.com Password=user_password ReplicaOrNewDomain=Domain NewDomain=Forest NewDomainDNSName=theitbros.com ForestLevel=3 DomainNetbiosName= theitbros DomainLevel=3 CreateDNSDelegation=No
Para implementar un RODC, agregue las siguientes opciones a dcpromo_unattend.txt:
- PasswordReplicationDenied = especifique una lista de usuarios, grupos y cuentas de equipo cuyas contraseñas no se replicarán en este controlador de dominio de solo lectura.
- PasswordReplicationAllowed = lista de objetos cuyas contraseñas pueden replicarse en este RODC.
- DelegatedAdmin = Cuenta de usuario que se utilizará para la administración del RODC.
Degradación de un controlador de dominio con DCPromo
Con el dcpromo /eliminación forzada comando, puede degradar el controlador de dominio al servidor miembro. Si se encuentra uno de los roles de FSMO en el controlador de dominio, primero se le pedirá que transfiera los roles de FSMO a otro DC. Si este servidor es un catálogo Global, también aparecerá una advertencia.
Puede usar un archivo de respuesta para la eliminación desatendida del rol de Servicios de dominio de Active Directory. Cree el archivo dcpromo_unattend_removal.txt:
[DCINSTALL] UserName= adm_bjackson UserDomain= theitbros.com Password= adm_bjackson_password AdministratorPassword=set the password for the local administrator account on Windows Server RemoveApplicationPartitions=yes RemoveDNSDelegation=yes RebootOnCompletion=yes
Luego aplique este archivo desatendido en el DC de la siguiente manera:
dcpromo /answer:dcpromo_unattend_removal.txt
¿Cómo promocionar el controlador de dominio AD con PowerShell?
Dcpromo se usó para promover servidores miembro a los controladores de dominio en Windows Server 2000, 2003, 2008, 2008 R2, pero el comando Dcpromo está obsoleto en Windows Server 2012 y versiones posteriores.
Cuando intente ejecutar el comando dcpromo en Windows Server 2012 R2, aparecerá una advertencia:
El Asistente para la instalación de los servicios de dominio de Active Directory se reubica en el Administrador del servidor.
Por lo tanto, en Windows Server 2012 R2, 2016 y 2019, puede promover el servidor de Windows al controlador de dominio utilizando el Administrador del servidor o el módulo PowerShell de ADDSDeployment (que en realidad se ejecuta en el asistente «Promocionar este servidor a un controlador de dominio» durante la instalación del ADDS). función cuando especifica la configuración para el nuevo controlador de dominio.
Para implementar un controlador de dominio adicional en el dominio THEITBROS.COM usando el módulo ADDSDeployment, puede usar el siguiente script de PowerShell:
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools Import-Module ADDSDeployment Install-ADDSDomainController ` -NoGlobalCatalog:$false ` -CreateDnsDelegation:$false ` -CriticalReplicationOnly:$false ` -DatabasePath “C:WindowsNTDS” ` -DomainName “theitbros.com” ` -InstallDns:$true ` -LogPath “C:WindowsNTDS” ` -NoRebootOnCompletion:$false ` -SiteName “Default-First-Site-Name” ` -SysvolPath “C:WindowsSYSVOL” ` -Force:$true
Sin embargo, la sintaxis del formato de archivo de respuesta dcpromo no ha cambiado desde Windows Server 2003, y aún puede usar esta herramienta para la promoción desatendida del controlador de dominio en las últimas versiones de Windows Server 2022/2019/2016/2012R. También puede usar el comando dcpromo /unattend en varios scripts para implementar y configurar automáticamente un nuevo DC en Windows Server Core (no contiene una GUI). En la mayoría de los casos, todos los controladores de dominio de la empresa están configurados de manera idéntica, por lo que puede reutilizar un archivo de respuesta para varias promociones.
